Οι μεταφορές δεδομένων έχουν κυκλοφορήσει αλλά ρυθμίζονται

Απόσπασμα από το βιβλίο του Bruno DUMAY: ΑΠΟΚΡΥΠΤΟΓΡΑΦΗΣΗ GDPR – Για διευθυντές, στρατηγικά τμήματα και υπαλλήλους εταιρειών και οργανισμών – Πρόλογος από την Gaëlle MONTEILLER

Όσο περίεργο κι αν φαίνεται σε μια παγκοσμιοποιημένη οικονομία όπου η έννοια των συνόρων φαίνεται ασύμβατη με τις συναλλαγές μέσω του διαδικτύου, η διαβίβαση δεδομένων προσωπικού χαρακτήρα για περαιτέρω επεξεργασία απαγορεύτηκε από την ΕΕ σε τρίτη χώρα, δηλαδή χώρα που βρίσκεται εκτός της Ένωσης, χωρίς άδεια που εκδίδεται από εποπτική αρχή.

Ο ΓΚΠΔ καταργεί το καθεστώς προηγούμενης έγκρισης. Ωστόσο, απαιτούνται ορισμένες προϋποθέσεις για να πραγματοποιηθεί η μεταφορά. Η Επιτροπή πρέπει να έχει διαπιστώσει, με απόφασή της, ότι ο αποδέκτης εκτός ΕΕ (χώρα, έδαφος ή τομέας χώρας, διεθνής οργανισμός) «εξασφαλίζει επαρκές επίπεδο προστασίας» (Άρθρο 45-1). 

Το 2ο^μι Η πρώτη παράγραφος του άρθρου 45 απαριθμεί τα κριτήρια που αντιστοιχούν σε αυτό το επαρκές επίπεδο προστασίας, συμπεριλαμβανομένου του κράτους δικαίου, του σεβασμού των ανθρωπίνων δικαιωμάτων και των θεμελιωδών ελευθεριών, της νομοθεσίας, της ουσιαστικής ύπαρξης ανεξάρτητης εποπτικής αρχής, των διεθνών δεσμεύσεων κ.λπ. Εάν η εξέταση αυτών των κριτηρίων οδηγήσει στο συμπέρασμα ότι το μέτρο είναι σύμφωνο με τους ευρωπαϊκούς κανόνες, η Επιτροπή εκδίδει «εκτελεστική πράξη», η οποία υπόκειται σε περιοδική αναθεώρηση τουλάχιστον κάθε τέσσερα χρόνια (άρθρο 45-3). Διευκρινίζεται περαιτέρω ότι η Επιτροπή παρακολουθεί συνεχώς τις εξελίξεις σε τρίτες χώρες (άρθρο 45-4).

Ωστόσο, η διαβίβαση είναι δυνατή, πάντα χωρίς προηγούμενη άδεια, σε προορισμό που δεν έχει αποτελέσει αντικείμενο εκτελεστικής πράξης. Πράγματι, το Άρθρο 46 ορίζει ότι ένας υπεύθυνος επεξεργασίας ή ένας εκτελών την επεξεργασία μπορεί να διαβιβάσει «εάν έχει παράσχει κατάλληλες εγγυήσεις και υπό την προϋπόθεση ότι τα υποκείμενα των δεδομένων έχουν εκτελεστά δικαιώματα και αποτελεσματικά ένδικα μέσα» (Άρθρο 46-1).

Αυτές οι κατάλληλες εγγυήσεις μπορούν να παρέχονται με διάφορα μέσα, μερικά από τα οποία έχουμε ήδη αναφέρει:

•  Νομικά δεσμευτικό και εκτελεστό μέσο μεταξύ δημόσιων αρχών ή φορέων·
•  Δεσμευτικοί εταιρικοί κανόνες (για ομίλους εταιρειών, οι όροι αυτών των κανόνων, οι οποίοι πρέπει να εγκριθούν από την εποπτική αρχή, καθορίζονται στο άρθρο 47)·
• Τυποποιημένες ρήτρες που εγκρίνονται από την Επιτροπή, είτε απευθείας είτε μέσω εποπτικής αρχής·
•  Ένας κώδικας δεοντολογίας ή ένας μηχανισμός πιστοποίησης «συνοδευόμενος από δεσμευτική και εκτελεστή δέσμευση που αναλαμβάνει ο υπεύθυνος επεξεργασίας ή ο επεξεργαστής στην τρίτη χώρα να εφαρμόσει κατάλληλες εγγυήσεις» (άρθρο 46-2).

Κατάλληλες εγγυήσεις για τη μεταφορά μπορούν να παρασχεθούν, αυτή τη φορά μετά από άδεια από την εποπτική αρχή, με δύο άλλα μέσα:

– Σύμβαση μεταξύ του υπευθύνου επεξεργασίας δεδομένων ή του υπεργολάβου με τους ομολόγους τους στην τρίτη χώρα·

– «Διατάξεις που πρέπει να περιλαμβάνονται σε διοικητικές ρυθμίσεις μεταξύ δημόσιων αρχών ή δημόσιων φορέων» (άρθρο 46-3).

Συνεπώς, απαγορεύεται οποιαδήποτε μεταφορά εκτός των ορίων εκτελεστικής πράξης που εγγυάται επαρκές επίπεδο προστασίας ή συγκεκριμένων εγγυήσεων. Ωστόσο, προβλέπονται εξαιρέσεις για συγκεκριμένες περιπτώσεις που αναφέρονται στο άρθρο 49. Μια μεταφορά είναι ιδίως δυνατή:

– Όταν το ενδιαφερόμενο πρόσωπο έχει δώσει τη ρητή συγκατάθεσή του αφού ενημερώθηκε για τους κινδύνους που ενέχει· 

– Στο πλαίσιο εκτέλεσης σύμβασης μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας (ή προς το συμφέρον του με άλλο φυσικό ή νομικό πρόσωπο)·

– Όταν η διαβίβαση είναι προς το δημόσιο συμφέρον ή σχετίζεται με την επιβολή νόμιμων δικαιωμάτων ή είναι απαραίτητη για την προστασία ζωτικών συμφερόντων του υποκειμένου των δεδομένων.

Αυτές οι πολυάριθμες διατάξεις σχετικά με τις δυνατότητες μεταφοράς δείχνουν ότι οι εμπνευστές του ΓΚΠΔ θέλουν να εγγυηθούν την προστασία των προσωπικών δεδομένων, χωρίς να παρεμποδίζουν τη δραστηριότητα των εταιρειών και των διοικήσεων. Καταργώντας την προηγούμενη εξουσιοδότηση στη συντριπτική πλειονότητα των περιπτώσεων, στοιχηματίζουν στην ευθύνη των φορέων, των οποίων το έργο πρέπει να μπορεί να επαληθευτεί, σύμφωνα με την περίφημη αρχή της λογοδοσίας.